Linux新漏洞Dirty Frag曝光：無(wú)需競(jìng)爭(zhēng)條件即可提權(quán)

5月7日，一個(gè)名為Dirty Frag的Linux內(nèi)核本地權(quán)限提升漏洞被公開(kāi)披露。該漏洞利用了兩個(gè)獨(dú)立的頁(yè)緩存寫(xiě)入缺陷，可在幾乎所有主流Linux發(fā)行版上實(shí)現(xiàn)root權(quán)限獲取。更令人擔(dān)憂的是，相關(guān)漏洞利用代碼已在野外流傳。

安全研究員Hyunwoo Kim發(fā)現(xiàn)了這一漏洞。其核心攻擊路徑瞄準(zhǔn)了內(nèi)核struct sk_buff結(jié)構(gòu)體的frag成員，而非此前Dirty Pipe漏洞針對(duì)的struct pipe_buffer。具體而言，攻擊者通過(guò)splice()系統(tǒng)調(diào)用，將只讀頁(yè)緩存頁(yè)面（如/etc/passwd或/usr/bin/su）的引用植入發(fā)送端skb的frag槽位。接收端內(nèi)核代碼隨后直接在該frag上執(zhí)行原地加密操作，永久修改內(nèi)存中的頁(yè)緩存內(nèi)容。

Dirty Frag屬于確定性邏輯漏洞，與依賴(lài)競(jìng)爭(zhēng)條件的漏洞不同。它不需要時(shí)間窗口，失敗時(shí)不會(huì)導(dǎo)致內(nèi)核崩潰，成功率極高。這一特性使其在實(shí)際攻擊中極具威脅。

漏洞由兩個(gè)組件構(gòu)成。第一個(gè)是xfrm-ESP頁(yè)緩存寫(xiě)入漏洞，位于esp_input()函數(shù)中，即IPsec ESP接收路徑。當(dāng)skb非線性且缺少frag列表時(shí)，代碼跳過(guò)強(qiáng)制性的skb_cow_data()緩沖區(qū)分配步驟，直接對(duì)攻擊者植入的frag執(zhí)行原地AEAD解密。攻擊者利用XFRMA_REPLAY_ESN_VAL netlink屬性，可精確控制每次存儲(chǔ)操作的位置（文件偏移量）和值（4字節(jié)），從而用192字節(jié)的靜態(tài)root shell ELF覆蓋/usr/bin/su的頁(yè)緩存，分48個(gè)4字節(jié)塊寫(xiě)入。認(rèn)證失敗后返回-EBADMSG，但頁(yè)緩存寫(xiě)入已持久化。此變體需要?jiǎng)?chuàng)建用戶(hù)命名空間的能力（unshare(CLONE_NEWUSER)）。

第二個(gè)是RxRPC頁(yè)緩存寫(xiě)入漏洞，位于rxkad_verify_packet_1()函數(shù)。該函數(shù)對(duì)RxRPC載荷的前8字節(jié)執(zhí)行原地單塊pcbc(fcrypt)解密。由于skb_to_sgvec()將splice固定的頁(yè)緩存頁(yè)面直接轉(zhuǎn)換為SGL，攻擊者控制的頁(yè)面同時(shí)成為源和目標(biāo)。8字節(jié)的存儲(chǔ)值為fcrypt_decrypt(C, K)，其中K是通過(guò)add_key("rxrpc", ...)自由指定的會(huì)話密鑰——該操作完全不需要特權(quán)。攻擊者在用戶(hù)空間暴力破解K，直到生成所需的明文（例如將/etc/passwd第一行的密碼字段置空），從而繞過(guò)PAM的nullok認(rèn)證。

單獨(dú)來(lái)看，這兩個(gè)漏洞各有局限：xfrm-ESP需要用戶(hù)命名空間支持，RxRPC需要暴力破解密鑰。但將它們鏈?zhǔn)浇M合后，攻擊面覆蓋了幾乎所有主流Linux發(fā)行版。漏洞利用代碼優(yōu)先嘗試ESP路徑，若unshare失敗則回退到RxRPC路徑。這種組合策略確保了攻擊的普適性。

Dirty Frag與Dirty Pipe、Copy Fail（CVE-2026-31431）同屬一類(lèi)漏洞，但攻擊面更為隱蔽。頁(yè)緩存污染的影響具有持久性——即使攻擊者僅擁有只讀權(quán)限，后續(xù)所有對(duì)該文件的讀取都會(huì)看到被篡改的版本。這種"寫(xiě)入即持久"的特性，使得傳統(tǒng)的權(quán)限隔離機(jī)制面臨挑戰(zhàn)。

目前該漏洞尚未分配CVE編號(hào)，處于pending狀態(tài)。由于5月7日的禁運(yùn)期被打破，安全團(tuán)隊(duì)面臨的壓力陡增。對(duì)于系統(tǒng)管理員而言，限制用戶(hù)命名空間創(chuàng)建、監(jiān)控異常的網(wǎng)絡(luò)密鑰注冊(cè)行為，可作為臨時(shí)的緩解措施。